Выбрать главу

Алексей Лукацкий

Что готовит нам 2010 год

Хотелось бы поразмышлять о том, что несет следующий год российскому рынку информационной безопасности (о том, что будет происходить в мире, неплохо описано в отчете, который подготовила компания Cisco(http://cisco.com/en/US/prod/vpndevc/annual_security_report.html)).

Если рассматривать российский рынок по-крупному, без углубления в отдельные продуктовые или технологические ниши, то я могу назвать следующие тенденции.

Усиление роли государства в области информационной безопасности, которое распространяется сразу по нескольким направлениям.

Выпуск новых нормативных требований в области защиты информации ограниченного доступа. Пресловутыми персональными данными данное направление не ограничивается. После аварии на Саяно-Шушенской ГЭС усиливается контроль критически важных объектов, в том числе и в области информационной безопасности ключевых систем информационной инфраструктуры. Об этом мы уже говорили, рассматривая проект нового американского федерального закона S.773 («Cybersecurity Act of 2009»).

Попытка постепенного вытеснения западных производителей ПО и «железа» из многих сфер экономики, в первую очередь из госорганов и критически важных объектов. Мотивация простая управление рисками использования импортного оборудования для обеспечения национальной безопасности и определение приоритетных областей, где необходима замена импортного оборудования и средств связи на оборудование российского производства, сопоставимое по своим техническим характеристикам. При этом наши регуляторы планируют выработку мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления.

Ужесточение контроля ввоза оборудования и ПО, содержащего функции шифрования, на территорию России.

Контроль Интернета. Свободный и свободолюбивый Интернет давно вызывает у отечественных чиновников непреодолимое желание наложить лапу на неподконтрольную им Сеть. Высказывания чиновников московского правительства о запрете доступа к виртуальным казино вне отведенных четырех географических зон, желание регистрации ADSL-модемов в МВД, «наезды» милицейских генералов на анонимность в Интернете, законопроект о защите детей от негативной информации, законопроект «Об Интернет», изменения в Уголовном Кодексе в части усиления ответственности за хакерские атаки на сайты госорганов, дискуссия России и США по вопросам контроля Интернета, регистрация русскоязычных доменов и доменов в зоне. рф… Все это звенья одной цепи, которые говорят о том, что к Интернету око регуляторов обращается все чаще и чаще.

Нехватка квалифицированных кадров. Эта проблема преследует не только Россию, но и весь мир, квалифицированных кадров катастрофически не хватает. Например, проведенный в одном из вузов анализ показывает, что только банкам не хватает свыше 1200 специалистов по ИБ. Если взять 100 с лишним вузов, готовящих выпускников по ИБ, и наложить на потребности всей российской экономики, то при текущем темпе развития они смогут закрыть потребности в специалистах только лет через 40. Но и при наличии достаточного количества выпускников остаются серьезные проблемы с качеством их знаний. Только-только выпустившиеся выпускники заламывают при поиске работы такие требования по части зарплаты, что начинаешь задумываться, а чему такому их учили, что они просят оплату своих услуг на уровне 70–90 тысяч рублей. И это при практически полном отсутствии реального опыта и мало-мальски применимых на практике знаний.

Рост числа российских стартапов. Начавшись в 2008, эта тенденция продолжится и в 2010-м году. На рынке ИБ (как в Москве, так и регионах) стало появляться немало компаний, специализирующихся на оказании различных услуг в области информационной безопасности. Как правило, это бывшие сотрудники интеграторов или производителей средств защиты, которые решили податься на вольные хлеба, считая, что в условиях кризиса самое время начинать собственное дело. Время покажет, насколько они были правы. Новых разработчиков средств защиты на рынке пока не появилось и в ближайшее время вряд ли стоит этого ожидать.

Политизация хакерских атак. Усиление роли России на международной арене и рост влияния в энергетической сфере приводят к осложнению политической ситуации, которая начинает влиять и на Интернет. Конфликты с Грузией, Украиной, Эстонией и другими государствами сопровождаются массовыми атаками «хакеров» с обеих сторон. При этом страдать могут и невинные граждане и предприятия.

Техническое регулирование. Совсем недавно Президент Медведев внес законопроект об изменении ФЗ «О техническом регулировании», в котором сделан огромный шаг навстречу всему миру. Речь идет о признании западных стандартов и гармонизации их с российскими нормативными требованиями. Пока не известно, как это скажется на области ИБ, но если мы начнем признавать Common Criteria, ISO 27001, ISA SP99 и т. д., то это сильно облегчит жизнь и российскому государству, не имеющему аналогичных стандартов, и российским потребителям, которым не придется тратить деньги на повторную сертификацию средств защиты (исключая критические области национальной безопасности). Определенный конфликт с первым предсказанием, конечно, есть, но это связано с тем, что «наверху» (в органах власти) идет борьба за контроль этой темы.

Отраслевая стандартизация. Банк России стал застрельщиком в этой области, выпустив свой стандарт по ИБ для банковского сообщества. ФЗ «О персональных данных» стал катализатором и для других отраслей. О своем стандарте безопасности заговорили операторы связи (сейчас они уже вышли на финишную прямую), страховщики и другие отрасли экономики. В следующем году эта тенденция только усилится.

Данные тенденции показывают, что область информационной безопасности в России сейчас претерпевает серьезные изменения, частично вызванные принятием закона о персональных данных, который и выявил многие из существующих проблем. Из них мне меньше всего нравится первая тенденция, связанная с усилением роли государства в области ИБ. Учитывая, что чиновники мало разбираются в регулируемых ими вопросах, а если разбираются, то с точки зрения защиты гостайны и борьбы с иностранными техническими разведками, я ожидаю очередных перегибов. Если конечно, не воплотится в жизнь одна из рекомендаций, которую не раз пытались донести до регуляторов и чиновников жизненно важно создать консультативный орган/совет, в который войдут специалисты-практики, а не свадебные генералы или руководители ведомств. Только в этом случае есть шанс не наломать дров.